Új haladócsoportos Android kártevő

2014. április 30. 23:27 - Csizmazia Darab István [Rambo]

Nem csak mennyiségi, hanem minőségi fejlődés is megfigyelhető az Androidos kártevők folyamatos evolúciójában. Nyilván statisztikailag a rejtett feliratkozás emelt díjas SMS-re és az adatlopás vezeti a sort gyakoriságban, de mai trójainkban mindezeket egyszerre látjuk, kiegészülve emellett számos más változatos büntető rutinnal, valamint közösségi oldalakról ismert social engineering terjedési módszerrel.

Az ESET kutatói az új malware esetében azt tapasztalták, hogy tipikusan a klasszikus PC számítógépes férgekre jellemző jellegzetes terjedési technikákat használja. Ott ugye azt tapasztaljuk, hogy tulajdonképpen többé-kevésbé automatikusan igyekeznek mind levélmellékletben, külső adathordozókkal Autorun-os konstrukcióban, illetve URL linken keresztül, valamint azonnali csevegő és Facebook üzenetként is tovább terjedni. Nos itt pedig az történik, hogy a fertőzött készülék tulajdonosának minden ismerőse kap egy SMS üzenetet azzal a szöveggel, hogy “Это твои фото?” magyarul "ez a te fényképed?". A melléklet "természetesen" egy preparált kártékony .APK állomány, amelyre óvatlanul kattintva a következők történhetnek.

Trójaiként igyekszik saját magát legitim hasznos alkalmazásnak feltüntetni, ehhez pedig a "com.android.tools.system v1.0" álnevet használja. Települése után viszont az alkalmazás sem grafikus felületet, sem pedig megjeleníthető ikont nem jelenít meg. A downloader típusú kártevőkhöz hasonlóan megkísérel további kártékony kódokat a telefonra letölteni, illetve kémkedik is utánunk. Magyarul a készüléken tárolt bizalmas információkat, beleérte a kontaktlistánkat és a szöveges üzeneteinket is, rejtve feltölti egy távoli szerverre.

Emellett a klasszikus módit is beveti, vagyis feliratkozik a nevünkben emelt díjas SMS szolgáltatásokra, illetve ezen felül a telefon hívások blokkolására is képes, valamint az ébresztő beállításait is tudja manipulálni, kikapcsolni. A támadáshoz használt, és a kártevőelemzők által beazonosított szerver doménjét mindössze pár napja, 2014. április 24-én regisztrálták csak be. A védekezésben nyilvánvalóan az is fontos momentum, hogy új ismeretlen alkalmazások esetén ne csak bambán next-next-finish módjára telepítsünk, hanem valóban nézzük át és ellenőrizzük az app által igényelt engedélyeket.

A kártevőt az ESET termékei Android/Samsapo.A néven detektálják. A trükk egyébként nem véletlenül lehet ismerős a social engineering iránt érdeklődőknek illetve törzsolvasónknak, hagyományos PC-s környezetben elkövetett hasonló cselről ugyanis írtunk már korábban, nagyjából két éve. Vagyis a kíváncsiság, a meglepetés, az ijedtség és a düh rafinált egyvelege sokkal hatékonyabb kattintásmágnes, mint önmagában egyedül csak a kíváncsiság. A tanácsaink a szokásosak: használjunk Androidon is antivírust, plusz javasolt az óvatosság a Google Playen kívüli ismeretlen programok telepítésénél, illetve hasznos a biztonságtudatos hozzáállás a kéretlen e-mailek, közösségi üzenetek esetében. A kutatók csak és kizárólag orosz nyelven és ebben a régióban találkoztak az említett kártevővel, amihez viszont bátran hozzátehetjük azt is, hogy egyelőre.

9 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

2014.05.01. 23:33:25

Kicsit off. Ez most komoly? Feltelepítettem a az eset-et (AVG-t használok amúgy) És mi az első megjegyzés amin megakad a szemem? A "felszabadított" készülékek nem támogatottak! Így idézőjelben! LOL! Szóval, ha rootolom a saját telefonom pusztuljak? Nem véletlenül rakunk fel saját romot, ami ugye csak rootolás után lehetséges! Csak így tudunk a felesleges, kiirthatatlan appoktól megszabadulni ugye. ""Köszönjük" a támogatást!

ringer 2014.05.02. 08:55:10

Rootolt rendszereket sokkal nehezebb megvédeni a kártevőktől, ezért a biztonsági cégek egy része nem is foglalkozik velük.

kpityu2 2014.05.02. 09:48:39

Mi olyat tud, amit a többi app nem? :P

Globetrotter2014 2014.05.02. 11:17:13

@agregory: bakker. Meghekkelet a telódat aztán rinyálsz hogy a fizetős vírusirtók nem működnek jól a kalózoprendszeren?

€ŁmĘŘEnGé$ 2014.05.02. 12:40:15

@ZF2: Egy mondatban 3 hibás állítás.
1.: a rootolás egyáltalán nem hack
2.: a mobilos eset ingyenes
3.: a főzött romok egyáltalán nem kalózoprendszerek

Tudod, az open source dolgoknak ez a lényege, hogy azt tegyél vele amit akarsz, azt módosítassz rajta amit akarsz. Kizárólag a szolgáltatók háklija az, hogy a root üldözendő.

2014.05.02. 14:24:17

@ZF2: milyen hekkelés????? az hogy rendszergazda vagyok, a saját telómon? Akkor élj együtt a szar eltávolíthatatlan demó appokkal. Szerintem téged a számítógéped is csak felhasználóként enged be! de legalább nem tudsz kárt csinálni. HGY

2014.05.02. 14:25:11

Egyáltalán van fogalmad arról, hogy mi a rootolás? ehh! minek magyarázok...

2014.05.02. 14:26:32

"kalóz oprendszer" erre nem is lehet mit mondani. Bocs, hogy olyan appokat rakok a telepítőbe amire szükségem van és működik is! Én kérek elnézést!

Globetrotter2014 2014.05.02. 14:38:24

@agregory: androindon filléreke az appok, engem jobban érdekel a biztonság mint hogy szénné tudjam pimpelni a telót.

A mostani telómra is azért tettem fel egy Launchert mert nagyon belassult a operndszer. Egyébként a gyári launcher fényévekkel jobb volt nála.

De nem látom be mire lenne jó mondjuk egy cynogen, kivéve ha a gyártó nem frissít tovább (na jó ha úgy elbaxxa mint az LG akkor azért elgondolkoztam már rajta)
süti beállítások módosítása